04 Марта 2026 16:11 04 Мар 2026 16:11 |

Поделиться

Google нашел инструмент, с помощью которого можно взломать любой iPhone

Найден ИТ-инструмент

Специалисты Google и iVerify обнаружили ИТ-инструмент для взлома iPhone, который с 2024 г. переходил из рук в руки между разными группами злоумышленников, предупреждает команда Google Threat Intelligence Group (GTIG). ИТ-инструмент сначала применяли в точечных операциях слежки, позже использовали в шпионских кибератаках против пользователей на Украине, а затем тот же набор оказался у китайских мошенников.

Специалисты GTIG провели анализ эксплойт-кита под условным названием Coruna и выявили в его составе пять полноценных цепочек эксплуатации ИТ-уязвимостей, а также 23 отдельные ИТ-уязвимости в операционной системе (ОС) iOS.

Указанный набор предназначен для проведения кибератак на устройства iPhone, работающие под управлением версий iOS от 13.0 (выпущена в сентябре 2019 г.) до 17.2.1 (опубликована в декабре 2023 г.).

Некоторые из применяемых методов обхода защитных механизмов ранее не были публично раскрыты и позволяют эффективно преодолевать встроенные в iOS средства безопасности, включая Pointer Authentication Codes (PAC) и другие mitigation-техники (механизм защиты, направленный на смягчение последствий эксплуатации ИТ-уязвимости). Актуальные версии iOS (начиная с 17.3 и выше) содержат исправления ИТ-уязвимостей, использованных в составе Coruna, и не подвержены указанным кибератакам. Рекомендуется своевременно обновлять ОС до последних доступных версий.

Высокая активность

В феврале 2025 г. специалисты iVerify перехватили часть цепочки кибератаки, которую использовал клиент коммерческой компании, продающей ИТ-системы слежки. Вредоносный код работал через сложный JavaScript-фреймворк с необычной обфускацией. Скрипт сначала собирал сведения об устройстве: проверял, настоящий ли телефон, определял модель iPhone и версию iOS. Затем сервер отправлял подходящую ИТ-уязвимость для движка WebKit и механизм обхода защиты Pointer Authentication Code. Один из таких эксплойтов использовал уязвимость CVE-2024-23222, который программисты Apple закрыли в январе 2024 г. вместе с выпуском iOS 17.3.

В летний период 2025 г. тот же JavaScript-фреймворк был зафиксирован в рамках другой вредоносной кампании. Злоумышленники внедрили вредоносный код на десятки скомпрометированных веб-ресурсов Украины, включая сайты розничных магазинов, сервисных компаний и электронных торговых площадок. Зараженные страницы незаметно для пользователя загружали скрытый iframe, который осуществлял доставку эксплойт-кита исключительно целевым пользователям устройств iPhone, находящимся в определенных географических регионах. Данную активность специалисты по информационной безопасности (ИБ) iVerify связали с деятельностью группы UNC6353. После выявления ИТ-инцидента эксперты оперативно уведомили украинскую команду реагирования на компьютерные чрезвычайные события CERT-UA и оказали содействие в очистке и восстановлении зараженных веб-ресурсов.

К концу 2025 г. эксплойт-кит Coruna был вновь зафиксирован в рамках новой масштабной вредоносной кампании. На этот раз хакеры развернули вредоносный код на сотнях поддельных веб-ресурсов на китайском языке, преимущественно имитирующих финансовые онлайн-сервисы, криптовалютные биржи и связанные с ними онлайн-платформы. Мошеннические страницы содержали механизмы убеждения посетителей открывать сайт исключительно с устройств iPhone (в частности, с помощью всплывающих окон и специальных призывов). При доступе с iOS-устройства страница незаметно внедряла скрытый iframe, который запускал доставку того же набора эксплойтов Coruna. Кампания была направлена на массовое заражение ИТ-уязвимых устройств под управлением iOS (версии от 13.0 до 17.2.1) с последующей установкой вредоносного программного обеспечения (ПО), ориентированного на кражу данных криптовалютных кошельков, seed-фраз, финансовых учетных данных и другой конфиденциальной информации. Данную активность специалисты связывают с финансово-мотивированной группировкой хакеров UNC6691.

Анализ эксплойт-кита

В одном из случаев, хакеры случайно развернули отладочную версию комплекта. В коде остались названия модулей и внутренних компонентов. Благодаря этой ошибке специалисты iVerify и узнали внутреннее имя набора — Coruna. Анализ нескольких сотен образцов позволил восстановить пять полных цепочек ИТ-атак.

Архитектура эксплойт-кита Coruna отличается высокой сложностью и многоуровневой защитой от обнаружения и анализа. Скрипт немедленно прекращает выполнение в случае активации на устройстве режима повышенной защиты либо при открытии сайта в режиме приватного просмотра. Для загрузки дополнительных ИТ-компонентов используется закодированная cookie-метка уникального типа. Адреса ресурсов генерируются динамически путем вычисления SHA-256-хеша от комбинации значения этой cookie и идентификатора ресурса (с последующим взятием первых 40 символов результата хеша).

После успешной эксплуатации ИТ-уязвимости в движке WebKit (обеспечивающей удаленное выполнение кода — RCE) запускается бинарный загрузчик. Он выполняет процесс сбора данных с устройства и подбирает оптимальную цепочку эксплойтов, соответствующую конкретной модели iPhone и версии iOS. Полезная нагрузка (включая последующие этапы эксплуатации, такие как обход PAC, эскалация привилегий и установка импланта) хранится в зашифрованном виде и маскируется под легитимные JavaScript-файлы, что существенно затрудняет статический и динамический анализ.

После получения полного контроля над устройством запускается загрузчик, и ИТ-компонент внедряется в системный процесс, работающий с правами администратора. Дальнейшая активность показала, что конечная цель кибератак — не слежка, а кража финансовых данных.

Вредоносный модуль, устанавливаемый после успешной эксплуатации, выполняет поиск конфиденциальной информации на устройстве. В частности, он сканирует хранилище изображений (фотогалерею) на наличие quick response (QR)-кодов, содержащих данные криптовалютных кошельков, и осуществляет их декодирование для извлечения seed-фраз или приватных ключей. Кроме того, модуль проводит анализ текстовых данных и файлов, включая содержимое приложения (Apple Notes/Мемо). Программа ищет последовательности слов из стандартного словаря BIP-39 (мнемонические фразы восстановления кошельков), а также ключевые фразы на английском и других языках, такие как «backup phrase», «seed phrase», «recovery phrase», «bank account», «счет в банке» и аналогичные. При обнаружении совпадений (в том числе в заметках) вредоносный код извлекает соответствующие данные и отправляет их на сервер управления и контроля (C2) злоумышленников для последующего использования в целях кражи криптоактивов или другой финансовой информации.

Кроме того, программа может загружать дополнительные модули. Каждый модуль перехватывает работу популярных криптовалютных приложений, среди которых MetaMask, Trust Wallet, Exodus, Phantom и другие кошельки. Журналы работы модулей написаны на китайском языке, что косвенно указывает на происхождение операторов.

Распространение и смена предназначений

По данным GTIG, история эксплуатации набора Coruna ярко иллюстрирует процесс постепенного распространения высокотехнологичных ИТ-инструментов взлома между различными акторами.

Указанная последовательность использования от ИТ-инструментов слежки до кибершпионаж и финансового мошенничества, свидетельствует о существовании активного теневого рынка, на котором происходит купля-продажа или перепродажа дорогостоящих ИТ-уязвимостей нулевого дня. Точный механизм передачи ИТ-инструмента между акторами остается неустановленным, однако подобная пролиферация подчеркивает риски утечки и повторного использования передовых техник, изначально разработанных для ограниченного круга заказчиков.

Это наблюдение согласуется с более широкими выводами GTIG о тенденции распространения сложных возможностей между государственными и негосударственными заинтересованными лицами. В случаях, когда обновление до последней версии iOS по каким-либо причинам невозможно (например, из-за устаревшей модели устройства), специалисты советуют активировать режим повышенной защиты. Данный режим существенно ограничивает поверхность кибератаки, блокируя многие векторы эксплуатации, включая те, которые использует Coruna.

Антон Денисенко

Поделиться

Подписаться на новости Короткая ссылка